A Tartománynévrendszer (DNS) eredetileg nyílt protokollként készült. Ezért sebezhető a támadásokkal szemben. A Windows Server 2008 DNS biztonsági szolgáltatások hozzáadásával segít megelőzni a DNS-infrastruktúra ellen irányuló támadásokat. Tisztában kell lennie a szervezetben felmerülő általános, a tartománynévrendszert érintő biztonsági fenyegetésekkel, mielőtt eldöntené, mely biztonsági szolgáltatásokat kívánja használni.

A DNS-t érintő biztonsági fenyegetések

A következő felsorolásban tipikus módszereket talál, amelyekkel a támadók a DNS-infrastruktúrát fenyegethetik:

  • Feltérképezés: A folyamat során a támadó DNS-zónadatokat, például DNS-tartományneveket, számítógépneveket és érzékeny hálózati erőforrások IP-címeit szerzi meg. A támadó gyakran azzal kezdi a támadást, hogy az itt említett DNS-adatokkal diagramot készít egy hálózatról, más néven „feltérképezi” azt. A DNS-tartománynevek és -számítógépnevek általában egy tartomány vagy egy számítógép funkcióját vagy helyét jelölik, így a felhasználók könnyebben felismerik és megjegyzik a tartományokat és számítógépeket. Egy támadó a tartománynévrendszer ezen sajátosságát használja ki ahhoz, hogy megismerje a hálózatban lévő tartományok és számítógépek funkcióját és helyét.

  • Szolgáltatás elérhetetlenségét okozó támadás: Egy támadó kísérlete arra, hogy megakadályozza a hálózati szolgáltatások elérhetőségét. Ehhez a hálózatban lévő egy vagy több DNS-kiszolgálót rekurzív lekérdezésekkel áraszt el. Mivel a támadó a DNS-kiszolgálót lekérdezésekkel árasztja el, a kiszolgáló idővel eléri processzor-teljesítőképességének határát, és a DNS-kiszolgálószolgáltatás nem lesz elérhető. Ha a hálózatban nincs egy teljesen működőképes DNS-kiszolgáló sem, akkor azok a hálózati szolgáltatások, amelyek DNS-t használnak, nem elérhetők a hálózati felhasználók számára.

  • Adatmódosítás: Egy támadó (aki már elkészítette a hálózat térképét a DNS használatával) kísérlete arra, hogy érvényes IP-címeket használjon általa készített IP-csomagokban, amelyek azt a benyomást keltik, hogy érvényes IP-címről érkeznek a hálózatban. Ezt gyakran IP-lopási technikának hívják. Egy érvényes IP-címmel (az alhálózat IP-címtartományába tartozó IP-címmel) a támadó hozzáférhet a hálózathoz, és adatokat semmisíthet meg, vagy további támadásokat indíthat.

  • Átirányítás: Egy támadó átirányítja a DNS-névlekérdezéseket a saját irányítása alatt álló kiszolgálókra. Az átirányítás egyik módszere az, amikor a támadó kísérletet tesz a DNS-kiszolgáló DNS-gyorsítótárának hibás DNS-adatokkal való szennyezésére, amivel a későbbi lekérdezéseket a támadó irányítása alatt álló kiszolgálókra irányíthatja. Ha a lekérdezés például eredetileg a valami.de-jo-jatek.hu számára készült, és a hivatkozó válasz a de-jo-jatek.hu tartományon kívüli névre mutató rekordot ad, ami lehet például rosszindulatu-felhasznalo.com, akkor a DNS-kiszolgáló a gyorsítótárazott adatokat használja a rosszindulatu-felhasznalo.com név feloldásához. A támadók bármikor végrehajthatnak átirányítást, ha írási jogokat biztosító hozzáférésük van a DNS-adatokhoz, ami akkor fordulhat elő, ha például a dinamikus frissítések nem biztonságosak.

A DNS-t érintő biztonsági fenyegetések veszélyeinek mérséklése

A DNS beállítható úgy, hogy csökkentse ezeknek a gyakori, DNS-sel kapcsolatos biztonsági problémáknak a hatását. A következő táblázat felsorol öt fő területet, amelyekre érdemes odafigyelni a DNS biztonságát érintően.

DNS-biztonsági terület Leírás

DNS-névtér

A DNS-névtér tervezése során figyeljen oda a biztonsági szempontokra is. További információt a DNS-telepítés biztonságossá tétele című témakörben talál.

DNS-kiszolgálószolgáltatás

Tekintse át a DNS-kiszolgálószolgáltatás alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-kiszolgálószolgáltatás egy tartományvezérlőn fut. További információt A DNS-kiszolgáló szolgáltatás biztonságossá tétele című témakörben talál.

DNS-zónák

Tekintse át a DNS-zóna alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-zóna egy tartományvezérlőn van tárolva. További információt a DNS-zónák biztonságossá tétele című témakörben talál.

DNS-erőforrásrekordok

Tekintse át a DNS-erőforrásrekordok alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-erőforrásrekordok egy tartományvezérlőn vannak tárolva. További információt a DNS-erőforrásrekordok biztonságossá tétele című témakörben talál.

DNS-ügyfelek

Szabályozza, hogy a DNS-ügyfelek mely DNS-kiszolgálók IP-címeit használhatják. További információt a A DNS-ügyfelek biztonságossá tétele című témakörben talál.

A DNS biztonságának három szintje

A következő szakaszok a DNS-biztonság három szintjét ismertetik.

Alacsony biztonsági szint

Az alacsony biztonsági szint a DNS általános üzembe helyezése biztonsági óvintézkedések beállítása nélkül. Csak olyan hálózati környezetben alkalmazza ezt a biztonsági szintet, ahol nem aggódik a DNS-adatok sértetlenségéért, vagy egy magánhálózaton, ahol nem fenyegetik külső támadások. Az alacsony DNS-biztonsági szint a következő tulajdonságokkal rendelkezik:

  • A szervezet DNS-infrastruktúrája teljesen közvetlenül kapcsolódik az internethez.

  • A hálózatban lévő minden DNS-kiszolgáló szokásos DNS-névfeloldást hajt végre.

  • Az összes DNS-kiszolgáló gyökérmutatója az internetes gyökérkiszolgálókra mutat.

  • Az DNS-kiszolgálók bármilyen kiszolgálónak engedélyeznek zónaletöltést.

  • Minden DNS-kiszolgáló úgy van konfigurálva, hogy az összes IP-címét figyelje.

  • A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón le van tiltva.

  • A dinamikus frissítés az összes DNS-zónára engedélyezett.

  • Az 53-as UDP- és TCP/IP-port nyitva van a hálózati tűzfalon mind a forrás-, mind a célcímekhez.

Közepes biztonsági szint

A közepes biztonsági szint olyan DNS-biztonsági szolgáltatásokat használ, amelyek elérhetők akkor is, ha a DNS-kiszolgálókat nem tartományvezérlőkön futtatja, és a DNS-zónákat nem az Active Directory tartományi szolgáltatásokban tárolja. A közepes DNS-biztonsági szint a következő jellemzőkkel rendelkezik:

  • A szervezet DNS-infrastruktúrája korlátozott módon kapcsolódik az internethez.

  • Az összes DNS-kiszolgáló úgy van beállítva, hogy a továbbítókkal a belső DNS-kiszolgálók egy adott listájára mutasson, ha nem tudja a névfeloldást helyben elvégezni.

  • A DNS-kiszolgálók csak azoknak a DNS-kiszolgálóknak engedélyezik a zónaletöltéseket, amelyek szerepelnek a zónáikhoz tartozó névkiszolgáló (NS) típusú erőforrásrekordokban.

  • A DNS-kiszolgálók úgy vannak konfigurálva, hogy csak megadott IP-címeket figyeljenek.

  • A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón engedélyezett.

  • A nem biztonságos dinamikus frissítés egyik zónában sincs engedélyezve.

  • A belső DNS-kiszolgálók a tűzfalon keresztül csak korlátozott forrás- és célcímekkel kommunikálhatnak a külső kiszolgálókkal.

  • A tűzfal előtt lévő külső DNS-kiszolgálók gyökérmutatói a beállítások alapján az internetes gyökérkiszolgálókra mutatnak.

  • Az internetes névfeloldás minden esetben proxykiszolgálókkal és átjárókon keresztül történik.

Magas szintű biztonság

A magas biztonsági szint ugyanazt a konfigurációt használja, mint a közepes biztonsági szint. Ezen felül használja azokat a biztonsági szolgáltatásokat is, amelyek akkor érhetőek el, ha a DNS-kiszolgálószolgáltatás egy tartományvezérlőn fut, és a DNS-zónák az Active Directory tartományi szolgáltatásokban vannak tárolva. Emellett a magas biztonsági szinttel teljesen elkerülhető a DNS-adatkommunikáció az interneten. Ez nem egy tipikus konfiguráció, de ajánlott minden olyan esetben, amikor nincs szükség internetes kapcsolatra. A magas DNS-biztonsági szint a következő jellemzőkkel rendelkezik:

  • A szervezet DNS-infrastruktúrájában a belső DNS-kiszolgálók nem kommunikálnak az interneten.

  • A hálózat egy belső DNS-gyökeret és -névteret használ, ahol a DNS-zónáknak csak belső hatáskörük van.

  • Azok a DNS-kiszolgálók, amelyekhez továbbítók vannak beállítva, csak belső DNS-kiszolgálói IP-címeket használnak.

  • A DNS-kiszolgálók a zónaletöltéseket megadott IP-címekre korlátozzák.

  • A DNS-kiszolgálók úgy vannak konfigurálva, hogy csak megadott IP-címeket figyeljenek.

  • A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón engedélyezett.

  • A belső DNS-kiszolgálók úgy vannak beállítva, hogy a gyökérmutatójuk azokra a belső DNS-kiszolgálókra mutasson, amelyek a belső névtérhez tartozó gyökérzónákat tartalmazzák.

  • Minden DNS-kiszolgáló tartományvezérlőn fut. Egy tulajdonosi hozzáférés-vezérlési lista (DACL) van beállítva a DNS-kiszolgálószolgáltatáson, amely csak a megadott személyeknek engedélyezi a felügyeleti feladatok végrehajtását a kiszolgálón.

  • Az összes DNS-zóna az Active Directory tartományi szolgáltatásokban van tárolva. Be van állítva egy tulajdonosi hozzáférés-vezérlési lista (DACL), hogy csak megadott személyek hozhassanak létre, törölhessenek vagy módosíthassanak DNS-zónákat.

  • Tulajdonosi hozzáférés-vezérlési listák (DACL) vannak konfigurálva a DNS-erőforrásrekordokon, hogy a rendszer csak megadott személyeknek engedélyezze a DNS-adatok létrehozását, törlését vagy módosítását.

  • Biztonságos dinamikus frissítések vannak konfigurálva a DNS-zónákra, kivéve a legfelsőbb szintű és gyökérzónákat, amelyeknél egyáltalán nincsenek engedélyezve a dinamikus frissítések.

Tartalom